Кто владеет информацией — тот владеет миром.

Ротшильд

Пока другие только пытаются понять законы рынка, используй их!

Терморектальный криптоанализTM



Контроль данных


После того как мы выбрали системы honeypot и определились с функциональными возможностями, необходимо указать способ контроля потоков данных. Основная задача контроля данных - гарантировать, что взломщики не смогут воспользоваться нашими системами honeypot, чтобы напасть или причинить ущерб другим системам. В нашей Honeynet мы создадим три уровня контроля данных.
Первый и основной способ контроля данных - брандмауэр. От него требуется разрешать все входящие, но ограничить исходящие соединения каждой honeypot четырьмя соединениями в сутки. Это дает взломщиками достаточно маневренности, чтобы загрузить свои инструменты, проверить связи и т.д. Однако, когда они попытаются установить пятое соединение, брандмауэр немедленно заблокирует все попытки входящих и исходящих соединений. К IP-адресу honeypot доступ запрещается. Мы создадим эту функцию как для UDP, так и для TCP и будем блокировать исходящий трафик ICMP. Мы обнаружили, что пакеты ICMP трудно отслеживать и есть большие возможности для несанкционированных действий через протокол ICMP. В настоящее время мы блокируем весь исходящий трафик протокола ICMP. Эта сигнатура выделяется не так явно, как кажется, поскольку многие организации ограничивают или блокируют трафик ICMP. Кроме того, мы планируем в будущем включить ICMP. Эта функция автоматического блокирования устанавливается вместе со сценарием предупреждения брандмауэра, и ее можно найти на сайте http://www.dmkpress.ru. Итак, брандмауэр разрешает любые входящие и только четыре исходящих соединения через протокол UDP или TCP, блокируя все действия после четвертого соединения.
Однако не нужно забывать, что для honeypot с системой Linux требуются неограниченные возможности DNS и NTP, поскольку это будет основа всех honeypot в пределах Honeynet. Для DNS мы настраиваем Linux, чтобы она была механизмом продвижения данных. Вместо того, чтобы сконфигурировать систему так, чтобы она запрашивала корневые серверы Internet (Internet root servers), мы настроили ее восходящий поток данных DNS. Значит, когда одна honeypot запрашивает honeypot Linux о разрешении имени, этот запрос для всех разрешений пойдет в одну систему DNS в Internet. Это ограничивает число исходящих DNS-запросов honeypot к отдельной системе. Мы сконфигурировали брандмауэр, чтобы он позволял honeypot посылать запросы к единственной DNS в сети Internet. Honeynet получает полный набор функциональных возможностей DNS, но ограничена в инициировании исходящих соединений от одной honeypot к одной и той же системе. Для NTP мы сделали то же самое - настроили honeypot Linux так, чтобы она опять запрашивала единственный NTP-сервер в сети Internet. Как и в случае с DNS, это ограничит объем дозволенных действий honeypot.
Наконец, брандмауэр настроен для противодействия смене IP-адресов. Это гарантирует, что пакеты, созданные в Honeynet, будут иметь ее IP-адрес. Мы обнаружили, что пакеты с ложным IP-адресом - это один из самых распространенных видов нападении взломщиков, так что очень важно принять контрмеры.

Брандмауэр и его база правил являются основными средствами контроля данных. Однако мы также используем второй, резервный уровень. Весь трафик должен пройти через маршрутизатор, который выступает в качестве дополнительного средства контроля данных. Если брандмауэр даст сбой, маршрутизатор все равно выполнит основную часть его функций. Кроме того, маршрутизатор блокирует основную часть нелегального трафика еще до того, как он дойдет до брандмауэра, что повышает эффективность работы и регистрации брандмауэра.
Маршрутизатор настроен так, чтобы разрешать любой трафик по направлению к Honeynet. Затем мы конфигурируем его так, чтобы он ограничил исходящий трафик только пакетами с исходным IP-адресом Honeynet. Это снова защищает от атак с использованием ложного IP-адреса. Покинуть сеть могут только пакеты с правомочным IP-адресом. Кроме того, маршрутизатор отсекает все пакеты протокола ICMP. Наконец, маршрутизатор можно использовать для того, чтобы ввести правила вручную и заблокировать особенно агрессивного взломщика. Приведем список контроля доступа (ACL), который используется для фильтрации всех пакетов, исходящих из Honeynet через маршрутизатор. Обратите внимание на то, как этот ACL блокирует все пакеты с ложным IP-адресом, разрешая покинуть сеть только пакетам с исходным адресом 172.16.1.0 - внутреннего сетевого блока этой Honeynet. Кроме того, блокируется весь исходящий трафик протокола ICMP. Мы вручную ввели правило блокировки удаленного вызова процедуры (Remote Procedure Call - RPC) и сделали это после того, как какой-то очень агрессивный взломщик попытался просканировать тысячи систем со взломанной honeypot. Шестое правило брандмауэра автоматически блокировало попытки сканирования. Тем не менее мы вручную добавили его в маршрутизатор, чтобы заблокировать пакеты еще до того, как они дойдут до брандмауэра. Это повышает эффективность работы и регистрации брандмауэра. В нашем случае маршрутизатор зарегистрировал более 900 ООО попыток сканирования систем в Internet по поводу RPC.
Последний уровень обороны заключался в соединении с Internet, имевшем очень небольшую скорость, только 128 Кб/с. Если бы и брандмауэр, и маршрутизатор не смогли блокировать атаки, исходящие из Honeynet, этот небольшой канал создал бы третью линию обороны. Канал настолько мал, что ограничивает действия взломщиков. Только определенное число пакетов в секунду пройдет по такому маленькому каналу. Следовательно, даже если и брандмауэр, и маршрутизатор дадут сбой, взломщику придется иметь дело с ограниченным количеством систем, которые он сможет просканировать, или с ограниченным числом пакетов, которые он сможет послать для организации нападения типа «отказ о обслуживания». Конечно же, это не совершенная защита, но каждый уровень вносит свою лепту. Когда дело доходит до глубокой обороны, имеют значение даже те механизмы, которые обеспечивают минимальный уровень защиты: важен каждый уровень.


Остапенко Денис aka Sharp, 2006

Соглашение о приватности информации

 

Hosted by uCoz